管理网络最佳做法

Question

我正在考虑建立一个Management，我将把我的各种网络设备(防火墙Mgmt接口、Server RAC、WAP Mgmt接口等)的所有管理接口都放在上面。

在访问mgmt vlan时有什么最佳实践--例如，作为it管理员，我的工作站只在业务网络上--但是如果我需要通过mgmt接口访问防火墙，我是否应该拥有专门用于mgmt网络的第二个nic呢？还是应该编写只允许某些I(我的工作站)访问mgmt网络的ACL？

Answer 1

我看到这种设置的一种方式，似乎是一种合理的方法，允许从单个主机访问管理LAN，然后让任何人通过rdp或ssh连接到该设备，然后从那里连接到管理网络。

这种方法的一个优点是，在扫描方面降低了管理网络的可见性，但并不像使用多个nic解决方案那样与来自特定主机的访问绑定在一起。

另一个优点是，通过对网关主机上的活动进行审计，可以更容易地对管理LAN中的设备上所采取的操作进行审计。

当然，在验证与其连接的管理员和审核活动方面，保护该主机的安全变得非常重要。